LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS

MINISTRAS

 

ĮSAKYMAS

dėl LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS MINISTRO 2019 M. LIEPOS 2 D. ĮSAKYMO NR. V-583 „DĖL SAUGIOJO TINKLO VEIKLĄ UŽTIKRINANČIŲ DOKUMENTŲ PATVIRTINIMO“ PAKEITIMO

 

2021 m. kovo 25 d. Nr. V-207

Vilnius

 

P a k e i č i u Lietuvos Respublikos krašto apsaugos ministro 2019 m. liepos 1 d. įsakymą Nr. V-583 „Dėl Saugiojo tinklo veiklą užtikrinančių dokumentų patvirtinimo“ ir jį papildau 1.3 papunkčiu:

1.3. Saugiojo tinklo naudotojų administravimo taisykles.“

 

 

 

Krašto apsaugos ministras                                                                                     Arvydas Anušauskas

 

PATVIRTINTA

Lietuvos Respublikos

krašto apsaugos ministro

2021 m. kovo 25 d.

įsakymu Nr. V-207

 

SAUGIOJO TINKLO naudotojų administravimo taisyklės

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.       Saugiojo tinklo naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) nustato prieigos prie Saugiojo valstybinio duomenų perdavimo tinklo (toliau – Saugusis tinklas) elektroninės informacijos principus, Saugiojo tinklo naudotojų (toliau – Naudotojai), Saugiojo tinklo administratorių (toliau – Administratoriai) įgaliojimus, teises, pareigas, saugaus elektroninės informacijos teikimo Naudotojams kontrolės tvarką.

2.       Administravimo taisyklėse vartojamos sąvokos:

2.1.    Paslaugų valdymo priemonių naudotojas – Naudotojo įgaliotas asmuo prisijungimo prie Saugiojo tinklo administravimo, saugos organizavimo ar įgyvendinimo klausimams spręsti, turintis prieigos teisę prie Saugiojo tinklo valdymo priemonių;

2.2. Administravimo taisyklėse vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, ir kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose.

3.       Prieigos prie Saugiojo tinklo elektroninės informacijos principai:

3.1.    būtinumo principas – suteikiama tik tiek prieigos prie Saugiojo tinklo, kiek tai būtina funkcijoms atlikti;

3.2.    leistinumo principas – galimi tik tie veiksmai, kuriuos atlikti yra suteikta teisė Saugiojo tinklo saugą reglamentuojančiuose dokumentuose;

3.3.    prieinamumo ribojimo principas – susipažinti su Saugiojo tinklo saugoma elektronine informacija ir ją tvarkyti gali tik tie Administratoriai, kuriems tokia teisė buvo suteikta;

3.4.    apskaitos principas – Saugiajame tinkle atliekami Naudotojų darbuotojų ir Administratorių veiksmai turi būti registruojami, užtikrinant veiksmus atlikusių asmenų tapatybės nustatymą.

 

II SKYRIUS

NAUDOTOJŲ ir administratorių įgaliojimai, teisės ir pareigos

 

4.       Naudotojų įgaliojimus, teises ir pareigas nustato Prisijungimo prie Saugiojo valstybinio duomenų perdavimo tinklo, atsijungimo nuo jo ir elektroninių ryšių paslaugų teikimo šiuo tinklu tvarkos aprašas, patvirtintas Lietuvos Respublikos krašto apsaugos ministro 2019 m. liepos 2 d. įsakymu Nr. V-583 „Dėl Saugiojo valstybinio duomenų perdavimo tinklo veiklą užtikrinančių dokumentų patvirtinimo“, ir šios Administravimo taisyklės.

5.       Naudotojai turi užtikrinti, kad jų darbuotojai nedelsdami praneštų asmeniui, įgaliotam atstovauti Naudotojui prisijungimo prie Saugiojo tinklo administravimo, saugos organizavimo ir įgyvendinimo klausimais, arba Saugiojo tinklo tvarkytojui apie:

5.1.    Saugiojo tinklo sutrikimus;

5.2.    saugos politikos pažeidimus;

5.3.    nusikalstamos veiklos Saugiajame tinkle požymius;

5.4.    neveikiančias ar netinkamai veikiančias kibernetinio saugumo ir elektroninės informacijos saugos užtikrinimo priemones;

5.5.    neįprastą Saugiojo tinklo veikimą;

5.6.    esamus arba galimus informacijos saugumo reikalavimų pažeidimus bei kitų Naudotojų darbuotojų veiksmus, atliekamus nesilaikant Administravimo taisyklių ar kitų teisės aktų.

6.       Naudotojo darbuotojams draudžiama savavališkai rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti elektroninę informaciją apie Saugųjį tinklą.

7.       Paslaugų valdymo priemonių naudotojas turi teisę:

7.1.    pranešti apie gaunamų Saugiojo tinklo paslaugų sutrikimus;

7.2.    užsakyti naujas paslaugas;

7.3.    užsakyti gaunamų paslaugų keitimus.

8.       Administratoriai pagal savo atsakomybę Saugiajame tinkle skirstomi į:

8.1.    tinklo komponentų administratorius;

8.2.    tarnybinių stočių administratorius;

8.3.    kibernetinio saugumo administratorius;

8.4.    paslaugų valdymo priemonių administratorius.

9.       Tinklo komponentų administratorius turi šias teises ir pareigas:

9.1.    administruoti kolektyvinės apsaugos kibernetinio saugumo priemones ir vykdyti jų priežiūrą;

9.2.    administruoti tinklo įrangą;

9.3.    administruoti sujungimus su viešaisiais ryšių tinklais ir vykdyti jų priežiūrą;

9.4.    administruoti valstybės valdomų elektroninių ryšių tinklų, kurie naudojami vykdant valstybines mobilizacines užduotis, dalių sujungimus;

9.5.    administruoti sąveiką su Europos Sąjungos ir jos valstybių narių institucijų valdomais informaciniais ištekliais ir vykdyti priežiūrą;

9.6.    administruoti elektroninių ryšių infrastruktūrą. 

10.     Tarnybinių stočių administratorius turi šias teises ir pareigas:

10.1.  administruoti tarnybines stotis ir duomenų bazes;

10.2.  administruoti srities vardų struktūrą (angl. Domain Name System (DNS);

10.3.  vykdyti virtualizacijos platformos priežiūrą;

10.4.  valdyti tarnybinių stočių rezervines kopijas;

10.5.  atnaujinti ir prižiūrėti programinę įrangą;

10.6.  administruoti kibernetinio saugumo priemones ir vykdyti jų priežiūrą.

11.     Kibernetinio saugumo administratorius turi šias teises ir pareigas:

11.1.  stebėti Saugiojo tinklo saugą kibernetinės saugos priemonėmis;

11.2.  tirti ir analizuoti kibernetinius incidentus;

11.3.  vertinti Saugiojo tinklo pažeidžiamumą;

11.4.  administruoti kibernetinio saugumo priemones administravimą ir vykdyti jų priežiūrą. 

12.     Paslaugų valdymo priemonių administratorius turi šias teises ir pareigas:

12.1.  administruoti naudotojų ir jų įgaliotų darbuotojų duomenis;

12.2.  vykdyti Saugiuoju tinklu teikiamų paslaugų apskaitą;

12.3.  valdyti Saugiajame tinkle vykstančius incidentus, problemas ir pokyčius.

13.     Naudotojų darbuotojai ir Administratoriai privalo laikytis saugos dokumentuose ir kituose teisės aktuose nustatytų reikalavimų.

 

III SKYRIUS

Saugaus elektroninės informacijos teikimo naudotojams kontrolės tvarka

 

14.     Administratoriai yra skiriami Saugiojo tinklo tvarkytojo įsakymu Saugiojo tinklo saugos įgaliotinio teikimu.

15.     Prieigą prie paslaugų valdymo priemonių Paslaugų valdymo priemonių naudotojui suteikia paslaugų valdymo priemonių administratorius.  

16.     Kiti Naudotojų darbuotojai Saugiojo tinklo tvarkytojo nėra registruojami.

17.     Paslaugų valdymo priemonių naudotojų registravimo tvarka:

17.1.    Naudotojo darbuotojas Saugiojo tinklo tvarkytojui teikia su Naudotojo vadovu suderintą prašymą suteikti prieigą prie paslaugų valdymo priemonių;

17.2.    Paslaugų valdymo priemonių administratorius ne vėliau kaip per 10 darbo dienų nuo prašymo gavimo dienos suteikia Paslaugų valdymo priemonių naudotojui atskirą ir nesikartojantį prisijungimo vardą ir laikiną slaptažodį;

17.3.    Paslaugų valdymo priemonių naudotojo prieigos teisės nedelsiant, bet ne vėliau kaip per 1 darbo dieną sustabdomos, kai paslaugų valdymo priemonių administratorius gauna informaciją apie:

17.3.1.   Paslaugų valdymo priemonių naudotojo funkcijų, kurioms vykdyti buvo suteikta prieiga, pasikeitimą;

17.3.2.   nutrūkus Paslaugų valdymo priemonių naudotojo, kuriam buvo suteikta prieiga prie paslaugų valdymo priemonės, darbo santykiams;

17.3.3.   Naudotojo statuso netekimą.

18.     Paslaugų valdymo priemonių naudotojų slaptažodžių saugos reikalavimai:

18.1.    laikinas slaptažodis turi būti perduodamas atskirai nuo prisijungimo vardo;

18.2.    pirmojo prisijungimo metu Paslaugų valdymo priemonių naudotojui privaloma pasikeisti laikinąjį slaptažodį;

18.3.    kilus įtarimui, kad slaptažodis galėjo būti atskleistas, Paslaugų valdymo priemonių naudotojo slaptažodis nedelsiant turi būti pakeistas;

18.4.    slaptažodį Paslaugų valdymo priemonių naudotojui privaloma įsiminti, draudžiama slaptažodį užsirašyti ar atskleisti kitam asmeniui;

18.5.    slaptažodis turi būti ne trumpesnis nei 8 simbolių bei sudarytas iš raidžių, skaičių ir bent vienos didžiosios raidės;

18.6.    slaptažodžiams sudaryti neturi būti naudojama asmeninė informacija (vardas, pavardė, gimimo data, šeimos narių vardai ir pan.);

18.7.    slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius.

19.     Paslaugų valdymo priemonių naudotojui tris kartus iš eilės neteisingai įvedus slaptažodį, prisijungimas turi būti automatiškai blokuojamas.

20.     Paslaugų valdymo priemonių naudotojas, pamiršęs slaptažodį, privalo kreiptis į paslaugų valdymo priemonių administratorių, kuris suteikė prisijungimo vardą ir pirminį slaptažodį.

21.     Kiekvienas Paslaugų valdymo priemonių naudotojas privalo naudoti tik jam suteiktą prisijungimo vardą. Naudoti svetimą prisijungimo vardą draudžiama.

22.     Saugiojo tinklo administratorių skyrimo ir prieigos prie Saugiojo tinklo suteikimo tvarka:

22.1.  Saugiojo tinklo saugos įgaliotinis arba jo įgaliotas asmuo parengia įsakymo dėl Administratoriaus paskyrimo projektą ir teikia jį Saugiojo tinklo tvarkytojui pasirašyti;

22.2.  Administratoriui prieigos prie Saugiojo tinklo teisės suteikiamos arba pakeičiamos nuo įsakymo įsigaliojimo dienos;

22.3.  Administratoriaus prieigos prie Saugiojo tinklo teisės sustabdomos nedelsiant, bet ne vėliau kaip per 1 darbo dieną, kai Saugiojo tinklo saugos įgaliotinis gauna informaciją apie:

22.3.1.   Administratoriaus nušalinimą nuo darbo (pareigų) teisės aktų nustatytais atvejais;

22.3.2.   Administratoriaus neatitiktį pareigybės aprašyme nustatytiems kvalifikaciniams reikalavimams;

22.3.3.   nesinaudojimą prieigos prie Saugiojo tinklo teise ilgiau nei 2 mėnesius;

22.3.4.   nustatytą faktą, kad prieigos prie Saugiojo tinklo teisės naudojamos pažeidžiant Saugiojo tinklo elektroninės informacijos saugą ir kibernetinį saugumą reglamentuojančiuose teisės aktuose nustatytus reikalavimus.

23.     Nutrūkus darbo santykiams, Administratoriaus prieigos teisės turi būti panaikinamos paskutinę Administratoriaus darbo dieną, tačiau ne vėliau kaip iki darbo dienos pabaigos.

24.     Administratoriaus prieigos teisės panaikinamos Saugiojo tinklo tvarkytojo įsakymu.

25.     Administratoriai savo funkcijas privalo vykdyti naudodami tam skirtą atskirą paskyrą.

26.     Administratoriui darbo stotyje, iš kurios administruojamas Saugusis tinklas, neatliekant jokių veiksmų, darbo stotis turi užsirakinti, kad toliau administruoti Saugųjį tinklą būtų galima tik pakartotinai patvirtinus savo tapatybę. Laikas, per kurį Administratoriui neatliekant jokių veiksmų darbo stotis užsirakina, negali būti ilgesnis kaip penkiolika minučių.

27.     Administratorių slaptažodžių reikalavimai:

27.1.    slaptažodį turi sudaryti ne mažiau kaip 12 simbolių;

27.2.    slaptažodis turi būti sudarytas iš raidžių, skaičių ir specialiųjų simbolių;

27.3.    slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (vardas, pavardė, mergautinė pavardė, gimimo data, šeimos narių vardai ir pan.);

27.4.    slaptažodžių savininkai turi užtikrinti slaptažodžių konfidencialumą (jų saugojimą paslaptyje ir neatskleidimą kitiems darbuotojams ar tretiesiems asmenims).

28.     Saugiojo tinklo dalys, atliekančios nutolusio prisijungimo autentifikavimą ar patvirtinančios Administratoriaus tapatumą, turi drausti automatiškai išsaugoti slaptažodžius.

29.     Slaptažodžiai negali būti saugomi ir perduodami atviru tekstu, turi būti šifruojami ne silpnesniu nei AES-256 simetriniu šifravimo algoritmu.

30.     Administratorius, pamiršęs slaptažodį, privalo kreiptis į saugos įgaliotinį arba į jo įgaliotą asmenį, kuris suteikė prisijungimo vardą ir pirminį slaptažodį.

31.     Kilus įtarimui, kad slaptažodis galėjo būti atskleistas, slaptažodžio savininkas turi nedelsdamas pakeisti slaptažodį ir apie tai informuoti Saugiojo tinklo saugos įgaliotinį.

32.     Saugos įgaliotinis arba jo įgaliotas asmuo turi užtikrinti, kad:

32.1.  slaptažodis būtų keičiamas ne rečiau kaip kas 2 mėnesius;

32.2.  slaptažodžio savininkas pirminį slaptažodį privalomai pasikeistų pirmojo prisijungimo metu;

32.3.  slaptažodžio savininkas iš anksto (prieš 10 dienų) būtų perspėjamas apie jo slaptažodžio galiojimo pabaigą;

32.4. renkantis ar keičiant slaptažodį būtų reikalavimas bent kartą jį pakartoti;

32.5. būtų įsimenami paskutiniai 6 naudoti slaptažodžiai ir neleidžiama rinktis iš šio sąrašo;

32.6. jungiantis prie Saugiojo tinklo administravimo darbo stoties ir tris kartus iš eilės neteisingai įvedus slaptažodį, prisijungimas turi būti automatiškai blokuojamas.

33.     Slaptažodžiai privalo būti saugomi, jų šifravimui taikant saugius šifravimo algoritmus.

34.     Draudžiama Saugiojo tinklo techninėje ir programinėje įrangoje naudoti gamintojo nustatytus slaptažodžius, jie turi būti pakeisti ir atitikti 27 punkte nurodytus reikalavimus.

35.     Nuotolinis prisijungimas prie Saugiojo tinklo turi būti atliekamas pagal protokolą, skirtą duomenims šifruoti.

36.     Administratoriai administruoti Saugųjį tinklą gali tik jungdamiesi iš Saugiajam tinklui administruoti skirtos darbo stoties.

____________________________

part_2600f4134a8a4988bfbd233bb7f99492_end